インシデント対応

情報セキュリティマネジメント試験証拠保全」の問題

情報セキュリティ管理インシデント対応難易度:normal
インシデント発生後、原因究明や法的手続に備えて電子的証拠を収集・保全する際の原則として、最も適切なものはどれか。
原本をそのまま直接解析し、とにかく調査を最優先して迅速に作業を進めるべきとされる。
取得経路や取扱いを記録し、原本を改変せず完全性を保ったまま保全することである。
信頼性より復旧を重視し、ログを早期に上書きしてよい。
担当者の判断で必要と思う部分だけを抜粋し、残りは廃棄してよいとされている。
正解
取得経路や取扱いを記録し、原本を改変せず完全性を保ったまま保全することである。

デジタルフォレンジックでは、証拠の取得経路や取扱いの記録(証拠保全の連鎖)を残し、原本を改変せずに複製で解析するなど、完全性と証拠能力を維持することが原則である。

?選択肢ごとの解説

ア ×原本を直接解析すると改変の恐れがあり、証拠能力を損なうため原則に反する。
イ ○デジタルフォレンジックでは、証拠の取得経路や取扱いの記録(証拠保全の連鎖)を残し、原本を改変せずに複製で解析するなど、完全性と証拠能力を維持することが原則である。
ウ ×ログの早期上書きは証拠の消失を招き、証拠保全の原則に明確に反する。
エ ×担当者の独断で抜粋・廃棄すると証拠の客観性が失われ、保全の原則に反する。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-w1-0010

【情報セキュリティマネジメント試験】証拠保全の問題と解答・解説|ukamiru 過去問